Киберпреступники в сфере блокчейн-технологий начали перемещать похищенные средства в рекордно короткие сроки. Согласно последним данным, перевод активов инициируется спустя всего две секунды после начала атаки. В большинстве случаев перевод средств происходит до того, как пострадавшая сторона успевает публично заявить о компрометации систем.
Такие выводы содержатся в отчете компании Global Ledger за 2025 год. Аналитики изучили 255 инцидентов, в ходе которых общая сумма ущерба составила $4,04 млрд.
Скорость вывода активов опережает официальные заявления о взломах
Темпы работы злоумышленников поражают. Исследование показало , что в 76% случаев первая транзакция совершается до публичного раскрытия информации об инциденте. Во втором полугодии этот показатель вырос до 84,6%.
Следовательно, атакующие действуют быстрее, чем криптобиржи, аналитические компании или правоохранительные органы успевают скоординировать ответные меры. Однако высокая скорость характерна только для начального этапа.
Хотя первые транзакции совершаются почти мгновенно, полный цикл легализации активов замедлился. Во второй половине 2025 года хакерам требовалось в среднем 10,6 дня, чтобы достичь конечных точек депозита, таких как биржи или миксеры. Ранее этот процесс занимал около восьми дней. Таким образом, первичный рывок стал быстрее, но общая дистанция увеличилась.
Данная тенденция отражает качественное улучшение систем мониторинга. После публикации данных о взломе профильные компании маркируют адреса и усиливают контроль. В результате преступники вынуждены дробить суммы на мелкие части и проводить их через множество уровней, прежде чем пытаться обналичить средства.
Межсетевые мосты и использование протоколов конфиденциальности
Кроссчейн-мосты стали основным инструментом в процессе перемещения средств. Почти половина всех украденных активов — около $2,01 млрд — прошла через подобные сервисы. Этот объем более чем в три раза превышает суммы, направленные через миксеры или протоколы анонимизации. Например, в деле биржи Bybit через мосты прошло 94,91% похищенных средств.
Одновременно с этим протокол Tornado Cash вновь закрепил свои позиции на рынке. Данный сервис использовался в 41,57% случаев взломов в 2025 году. Доля его использования резко возросла во второй половине года, что эксперты связывают с изменениями в санкционной политике и техническими особенностями протокола.
Напротив, прямой вывод средств на централизованные торговые площадки во втором полугодии существенно сократился. Злоумышленники все чаще отдают предпочтение платформам децентрализованных финансов (DeFi). Очевидно, что преступники избегают стандартных шлюзов для вывода в фиат до тех пор, пока внимание к инциденту не ослабнет.
Статистика ущерба и перспективы возврата средств
Масштаб проблемы остается крайне серьезным. Основная часть потерь пришлась на сеть Ethereum — $2,44 млрд, что составляет 60,64% от общего объема. Несмотря на усилия индустрии, показатели возврата активов остаются низкими. Всего было заморожено лишь 9.52% средств, а возвращено владельцам — 6,52%.
Примечательно, что около половины всех украденных активов на момент проведения анализа оставались нетронутыми. Миллиарды долларов хранятся на кошельках в ожидании подходящего момента для легализации.
Текущая ситуация демонстрирует четкую закономерность. Атакующие действуют на предельных скоростях в первые секунды после взлома. Сторона защиты реагирует позже, что вынуждает преступников переходить к медленным и многоэтапным стратегиям отмывания. Противостояние перешло в новую фазу, где начало битвы измеряется секундами, а завершение — неделями.
